Golpe que Antivírus Não Vê: Hackers Usam Imagens SVG para Espalhar Malwares

Você já imaginou abrir uma simples imagem e, sem perceber, colocar seu computador em risco? Pois é exatamente isso que está acontecendo. Um relatório da VirusTotal, empresa do Google especializada em segurança, revelou uma técnica que está enganando até os antivírus mais avançados: o uso de arquivos SVG (Scalable Vector Graphics) para esconder malwares.

Como funciona o golpe com imagens SVG?

O arquivo .svg, bastante comum na internet e em e-mails, é baseado em XML e geralmente usado para imagens que podem ser redimensionadas sem perder qualidade. Só que hackers descobriram uma brecha: dentro desses arquivos, dá para embutir códigos maliciosos em JavaScript.

Na prática, isso significa que um simples clique em uma imagem aparentemente inofensiva pode abrir caminho para golpes de phishing ou até instalar malwares silenciosamente no sistema.

A campanha que enganou antivírus:

Segundo o relatório, uma campanha criminosa usou mais de 500 imagens SVG maliciosas para se passar por agências governamentais. O golpe incluía até uma página falsa do judiciário da Colômbia, exibida quando a imagem era aberta.

O usuário via uma barra de progresso enganosa e era induzido a baixar um arquivo .zip protegido por senha. Dentro dele, havia um executável disfarçado de documento oficial. Ao abrir, o sistema era infectado com mais malwares.

Detalhe assustador: 44 desses arquivos SVG não foram detectados por nenhum antivírus, só sendo revelados após a análise com IA da plataforma Code Insight, da própria VirusTotal.

Phishing cada vez mais sofisticado:

Outras empresas de segurança, como a IBM e a Sophos, também já detectaram o uso de imagens SVG em golpes voltados a bancos e companhias de seguro. Isso mostra como os ataques estão ficando cada vez mais criativos  e difíceis de identificar.

O uso de IA e machine learning no Code Insight ajudou a identificar os padrões suspeitos. Mas, como a própria VirusTotal ressalta, a inteligência artificial não substitui os especialistas humanos: ela apenas centraliza os esforços e acelera a detecção.

Microsoft reage: fim do suporte a SVG no Outlook

Como consequência direta da descoberta, a Microsoft decidiu desativar a renderização de arquivos SVG no aplicativo web e desktop do Outlook. É uma medida para evitar que e-mails maliciosos explorem essa técnica.

Como se proteger desse tipo de golpe?

Desconfie de anexos estranhos, mesmo que pareçam imagens.

Evite baixar arquivos de fontes desconhecidas.

Mantenha o sistema e os softwares sempre atualizados.

Use camadas extras de proteção, como autenticação em dois fatores.

Invista em conhecimento: quanto mais você entende sobre golpes digitais, menor a chance de cair neles.